加入星計劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

芯片安全的相對與絕對迷思

2020/02/20
106
閱讀需 7 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論

根據(jù)馬斯洛需求理論,當(dāng)滿足了溫飽之后,人們就會開始謀求更高層次的需求,物聯(lián)網(wǎng)發(fā)展到現(xiàn)在,很多公司也擺脫了低層次的“出貨量”的需求,開始尋求更高層次的溢價。

安全,作為下一個層次的重要支撐點,開始成為物聯(lián)網(wǎng)新寵。相應(yīng)的,芯片商開始適應(yīng)這種需求,推出了適應(yīng)性產(chǎn)品 ,Arm Cortex-M23 和 M33 內(nèi)核就是代表。

安全芯片可能并不“安全”

彼時,很多文章著重介紹以上兩款內(nèi)核的安全性。例如:支持 Trustzone-M,安全啟動等等。去年剛剛推出的時候,筆者由于忙于畢業(yè)設(shè)計,也就是簡單看了看,沒有過多關(guān)注,直到前幾天發(fā)現(xiàn)了一篇博文” Nuvoton M2351 MKROM (ArmV8-M TrustZone)” 。

圖源 | chipsecurity.org

作者通過錯誤注入攻擊,成功攻破新唐 M23 核心的 AES(Advanced Encryption Standard,高級加密標(biāo)準(zhǔn))加密。在筆者印象中,這是 CC EAL 評級認(rèn)證體系中定義的安全芯片絕對不允許出現(xiàn)的情況。

在另一篇論文” On-Device Power Analysis Across Hardware Security Domains” 中,作者攻擊了 MICROCHIP 的 SAM L11(首款量產(chǎn)的 M23 核芯片),作者不但使用側(cè)信道攻擊攻破了 AES。

此外,作者還玩了一個“騷操作”:用芯片自帶的模數(shù)轉(zhuǎn)換器獲得功耗數(shù)據(jù),之后做側(cè)信道攻擊,攻破了芯片的 AES,這也和我頭腦中的安全芯片的概念大相徑庭。

因此,對于 M23 和 M33 介紹文章中鋪天蓋地的“安全”,并不是筆者心里的安全。當(dāng)然,這也有可能給應(yīng)用工程師帶來困惑,并不是應(yīng)用工程師心里所定義的安全,于是有了這篇文章。

工程師眼里的安全“三把斧”

這里先簡單介紹一下應(yīng)用工程師眼里的安全的概念,相信大家之后會更好的區(qū)分三種安全的概念。

先說一下軟件安全(由于防御的攻擊主要來自于軟件威脅,就姑且以此稱之)。雖說是軟件安全,但是還是要硬件支持一部分的,比如 TrustZone 對總線的調(diào)整和安全啟動的硬件根簽名。他們的目的是針對軟件上的一些攻擊進(jìn)行防御,比如保護(hù)指紋信息(TrustZone)或者只讓芯片加載受信任的系統(tǒng)(安全啟動)。

如果說軟件攻擊還比較溫柔,硬件攻擊就顯得暴力和玄學(xué)了許多。硬件攻擊要么是通過使用示波器監(jiān)視芯片的功耗波動來獲取秘鑰(側(cè)信道攻擊);要么是干擾芯片的運行使得芯片跳過一些指令,以達(dá)到越權(quán)的攻擊效果,比如電源錯誤注入繞過芯片的固件保護(hù);

要么是去除芯片的封裝,用微探針或激光直接針對 die(去除外殼封裝的硅片)進(jìn)行操作,修改芯片的邏輯,讀取數(shù)據(jù)。對于這種“旁門”攻擊,防御手段一般是對電源噪音加一些干擾,或者直接進(jìn)行特殊的版圖設(shè)計,增減物理防御的功能。

物理攻擊可以攻破軟件安全的一些防御,除了上文中攻破 AES 秘鑰之外,著名硬件安全公司 riscure 也在他們的官網(wǎng)公開了很多實用硬件攻擊攻破安全啟動的文章和文件 。

另外不得不提的是功能安全,功能安全在英語中是”safety“,區(qū)別于信息安全類的“security”。一般指的是在苛刻環(huán)境中,例如車輛甚至宇宙軌道中,芯片可以正常工作,不會跑飛。比如說你買了一輛互聯(lián)網(wǎng)汽車,汽車的氣囊和主動剎車就屬于功能安全,而保證你的汽車不會被網(wǎng)絡(luò)攻擊者控制屬于信息安全。

做一個不太恰當(dāng)懂得比喻,功能安全是淬火鋼化玻璃,破了之后小的碎片沒有尖銳棱角,不易傷人;軟件安全是防彈玻璃,特別結(jié)實;硬件安全是超級防炮彈玻璃,可以拿炮轟。當(dāng)然,功能安全有時候可能更貴,比如宇航標(biāo)準(zhǔn)的驗證費用就比硬件安全的 CC 認(rèn)證貴多了。

相對與絕對的迷思

硬件安全是軟件安全的升級版本,TrustZone 技術(shù)也可以說是為了降低 inSE(片內(nèi)硬件安全單元)的成本而出現(xiàn)的。

當(dāng)然,筆者也不認(rèn)為例如 stm32 一類的非安全芯片無法抵御物理攻擊是一種漏洞,畢竟物理攻擊的成本和對攻擊者水平的要求都很高,安全溢價應(yīng)該讓有安全需求的人去承擔(dān),正如我們都知道防彈玻璃結(jié)實但是我們不可能把所有的玻璃都換成防彈的。

綜上所述,開發(fā)應(yīng)用的時候,芯片所提供的安全防護(hù)級別,以及您能接受多大的成本上升,這需要您仔細(xì)的評估。

如果需要固件不受篡改,芯片僅僅需要支持安全啟動,如果固件中的算法是您公司安身立命的根本,絕對不允許泄漏,就請使用 CC EAL4+甚至 5+認(rèn)證的產(chǎn)品并正確開發(fā)安全組件。筆者也希望廠商的宣傳中,可以明確產(chǎn)品對安全的定義,減少應(yīng)用工程師選型的難度。

最后說一句,沒有絕對的安全,即便是超級防炮彈玻璃,也可能有縫隙,也有可能被轟開,TrustZon 和硬件安全芯片也出現(xiàn)過漏洞,一些產(chǎn)品的安全組件軟硬件協(xié)調(diào)也出現(xiàn)過問題。安全從來不是硬件或軟件單獨的事情,整體的安全才是真正的安全。
?

Arm

Arm

ARM公司是一家知識產(chǎn)權(quán)(IP)供應(yīng)商,主要為國際上其他的電子公司提供高性能RISC處理器、外設(shè)和系統(tǒng)芯片技術(shù)授權(quán)。目前,ARM公司的處理器內(nèi)核已經(jīng)成為便攜通訊、手持計算設(shè)備、多媒體數(shù)字消費品等方案的RISC標(biāo)準(zhǔn)。公司1990年11月由Acorn、Apple和VLSI合并而成。

ARM公司是一家知識產(chǎn)權(quán)(IP)供應(yīng)商,主要為國際上其他的電子公司提供高性能RISC處理器、外設(shè)和系統(tǒng)芯片技術(shù)授權(quán)。目前,ARM公司的處理器內(nèi)核已經(jīng)成為便攜通訊、手持計算設(shè)備、多媒體數(shù)字消費品等方案的RISC標(biāo)準(zhǔn)。公司1990年11月由Acorn、Apple和VLSI合并而成。收起

查看更多

相關(guān)推薦

電子產(chǎn)業(yè)圖譜

就職于世界500強,專長為電子安全。

TA的熱門作品